Scan Report
15 /100
video-to-text
免费视频转文字 API - 使用免费 Whisper API 将视频/音频转为文字
这是一个合法的视频转文字工具,存在轻微文档不一致(Python脚本使用ffmpeg未在SKILL.md声明)和URL下载的SSRF潜在风险,但无恶意行为证据。
Safe to install
可安全使用。建议在文档中补充Python脚本对ffmpeg的依赖声明。
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | Python脚本subprocess调用未在文档声明 Doc Mismatch | scripts/video2text.py:15 |
| Low | 任意URL下载存在SSRF潜在风险 Sensitive Access | index.js:28 |
| Info | Python依赖未锁定版本 Supply Chain | scripts/video2text.py:45 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | WRITE | ✓ Aligned | index.js:37-38 创建临时文件写入,代码未声明但符合工具功能 |
| Network | READ | READ | ✓ Aligned | index.js:42 下载文件URL,SKILL.md声明使用免费API |
| Shell | NONE | WRITE | ✓ Aligned | tool.js:47 execSync调用node,scripts/video2text.py:15 subprocess调用ffmpeg(功能需要但未声明) |
4 findings
Medium External URL 外部 URL
https://api.myshell.ai/v1/audio/transcriptions SKILL.md:53 Medium External URL 外部 URL
https://api.assemblyai.com/v2/upload scripts/video2text.py:49 Medium External URL 外部 URL
https://api.assemblyai.com/v2/transcript scripts/video2text.py:58 Medium External URL 外部 URL
https://api.assemblyai.com/v2/transcript/ scripts/video2text.py:69 File Tree
6 files · 16.3 KB · 602 lines JavaScript 2f · 328L
Python 1f · 141L
JSON 2f · 70L
Markdown 1f · 63L
├─
▾
scripts
│ └─
video2text.py
Python
├─
_meta.json
JSON
├─
index.js
JavaScript
├─
package.json
JSON
├─
SKILL.md
Markdown
└─
tool.js
JavaScript
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
whisper | 未指定 | pip | No | Python脚本导入,未在requirements.txt中声明 |
requests | 未指定 | pip | No | 用于AssemblyAI API调用 |
Security Positives
✓ 代码结构清晰,无明显混淆或恶意代码模式
✓ 未访问~/.ssh、~/.aws、.env等敏感路径
✓ 未发现凭证收割或数据外泄行为
✓ API调用仅限声明的服务端点
✓ 临时文件在处理后正确清理